vad änvänds Active directory för på en arbets plats

Permalänk
Medlem

vad änvänds Active directory för på en arbets plats

Om det är många som följer mig eller kollar på mycket av mina trådar så lägger jag nästan ut konstant när jag väl behöver.

Man jag arbetar nu med mycket Active directory på en NUC, jag har domän joinat två VM som är användare.
Jag har också labbat med GPO och typ lagt till policys på en användare att han inte kan se sin klocka i windows när han loggar in med sitt konto. Jag har också lagt till policys på datorer så oavsett vilket konto man loggar in på så kommer alla policys vara kvar.

Ni kanske tror att det är lite konstigt att lägga till att man inte kan se en klocka, men detta är bara så jag kan få en känsla om hur jag gör allt och om det nu funkar.

Men medans jag labbade så kom jag och tänka på. Jag har praktik med ett IT-team och jag frågade vilka på jobbet som har tillgång till AD och dom sa att bara var dom. Men om man tänker generellt, hur brukar man använda AD i ett företag? brukar det vara några som har tillgång till AD-servern och alla andra anställda jobbar på en vanlig windows laptop/PC? för jag har typ trott att allt ligger på servern, så om jag är en anställd så går jag in på servern för att kolla mina filer och sådant. Men är allt på servern länkat till windows 10.

Kanske lite svårt att förstå, suger på att förklara. Men till exempel om en i IT-teamet ska skicka en fil eller någon slags information till en arbets grupp, lägger dom in den i server AD och alla användare som är med en den gruppen på AD har tillgång till filerna på datorn.

Permalänk
Medlem

AD är grund och botten för styrning av accesser osv som du nu kanske redan vet.
Sedan lägger man ett separat filsystem med diskar som kopplas mot AD. I AD lägger man till access för de personer som ska komma åt filsystemet.

Enbart IT som hanterar AD ska ha access till AD. Eventuellt "titt-inställning" för 1st line i större företag.

Permalänk
Medlem

Alltså, AD är ju en katalogtjänst. Det är det som är själva Directory i AD. Det är i grund och botten till för att hålla koll på datorer och användare som separata objekt på nätverket så att du kan använda centralt hanterade resurser, typ. Sen att just AD har väldigt många andra funktioner är ju en annan femma. Du kan t.ex. använda det för att styra saker baserat på vilken site du är uppkopplad mot och det integrerar ju med t.ex. MECM, Microsoft Exchange etc för att ha ett centralt nav i din IT-miljö som allt annat länkar ihop till.

När du har din domänkopplade laptop och kommer till jobbet med den och loggar in så använder du ett användarnamn och ett lösenord som är lagrat i Active Directory. Datorn kommunicerar med en domänkontrollant som bekräftar att användaren finns och att lösenordet är korrekt. Sedan kan du logga på din dator. Sedan fortsätter datorn prata med AD titt som tätt för att t.ex. se till att klockan går rätt (om man inte synkar mot något annat då, men vanligt är att man synkar tiden med domänen), för att se om det är några nya policies den ska applicera och så vidare. Det är ett sätt att hålla koll på alla datorer och kunna styra dem centralt.

Om du t.ex. har en grupp IT-tekniker som får ha lokal administratörsåtkomst på alla datorer är det väl tämligen drygt att anställa en ny tekniker och sedan gå och manuellt lägga till honom på 400 datorer för att han ska kunna vara administratör? Inte om du har Active Directory och använder en policy så att alla datorer får informationen från ditt AD att gruppen "LocalAdmin" (som finns i AD) ska vara lokal administratör på alla datorer. Då räcker det med att du kommer till jobbet med din laptop och startar upp den på nätverket så kommer din dator få den informationen utskickad via nätverket och snällt lägga till gruppen LocalAdmin i sin egen lokala administratörsgrupp samt kolla vilka som ingår i den, så att när den nya teknikern loggar in på sitt konto så vet datorn om att han ska få administratörsprivilegier.

Generellt sett har bara IT-avdelningen tillgång till servrar som kör AD. Är det ett litet bolag, typ Nisses Skrot och Kebab med fyra anställda, så kör de säkert allt på en och samma server om de ens har ett AD. Där loggar säkert alla in på samma server och gör precis allt (så att när den servern rasar så rasar hela deras företag). På ett medelstort företag är det nog IT-avdelningen som kan komma åt den. På ett stort företag (eller ett som åtminstone har bra säkerhetsrutiner) är det inte ens alla på IT som har full åtkomst i Active Directory, utan bara de personer som ska ha det och bara från de datorer som ska använda för administration av AD.

Domänkontrollanter är de servrar som behöver absolut högst skydd av alla servrar på hela nätverket eftersom att du tar dig vidare till exakt allt annat om du lyckas hacka dig in i en sån. Du kan se Active Directory som hjärnan i hela IT-miljön som alla pratar med konstant för att få uppdaterad information om vad som finns i där. AD har koll på vilka konton som finns, vad som är rätt lösenord till det kontot, vilka datorer som finns, vilka servrar som finns, var alla datorer finns, vad klockan är, vilken IP-adress som går till vilken dator (i det fallet AD hanterar DNS då, vilket är vanligt) etc etc etc. Det är ett register och ingenting man aktivt interagerar med som vanlig användare.

Så för att göra ett långt svar lite kortare: AD styr i princip allt i en Windowsmiljö på ett eller annat sätt och det är absolut ingenting som vanliga anställda är inne och pillar med eller märker av på något sätt. Har du filer som folk ska komma åt ligger de på en filserver, inte på en domänkontrollant. Om du har typ Visma eller något annat program som körs från nätverket så ligger det på en applikationsserver (eller en server specifikt för Visma) och inte på en domänkontrollant. Och hur vet en filserver att Lisa på ekonomi ska komma åt \\Server\Ekonomi? Jo, för hon är med i gruppen "Ekonomi" (som finns i Active Directory), som har rättigheter till den mappen. Och när hon loggar in på sin dator så frågar datorn AD "Vilka grupper är Lisa med i?" och får den informationen. Och när hon försöker öppna Ekonomi-mappen så ser filservern att "lisa" vill läsa mappen, och kollar med AD om hon är med i gruppen som har tillgång. Etc etc etc.